集團公司信息系統管理業(yè)務流程 -內控

信息系統管理業(yè)務流程一、業(yè)務目標滿足國家法律、法規(guī)和企業(yè)內部規(guī)章制度的要求；合理規(guī)劃和實施信息系統建設，促進企業(yè)戰(zhàn)略目標的實現；提高信息系統的管理水平和技術水平，滿足生產經營業(yè)務需求，提高企業(yè)綜合競爭力。二、業(yè)務風險信息系統的建設與運行違反國家法律、法規(guī)和監(jiān)管機構的要求，可能使企業(yè)遭受外部處罰；信息系統發(fā)展缺少合理的規(guī)劃或者落實不到位，無法確保企業(yè)全面戰(zhàn)略目標的實現；信息系統管理存在漏洞，無法滿足業(yè)務需求或給企業(yè)帶來信息安全隱患，影響生產經營的順利進行。業(yè)務范圍該子流程主要描述了xx股份有限公司（以下簡稱“股份公司”）信息系統管理業(yè)務的相關工作流程，主要包括：信息化建設發(fā)展規(guī)劃和年度項目建議計劃的編制、項目可行性研究和評審、項目立項審批、合同簽訂、項目實施、項目竣工驗收、系統應用和維護、系統升級等項內容。業(yè)務流程描述信息化建設發(fā)展規(guī)劃和年度項目建議計劃的編制根據公司發(fā)展戰(zhàn)略目標和核心業(yè)務，結合信息技術發(fā)展和公司實際，總經理辦公室負責組織編制全集團《股份公司信息化建設發(fā)展規(guī)劃》（主要包括指導思想、基本原則、發(fā)展目標、主要任務、措施要求等），在充分征求職能部門、事業(yè)部和下屬企業(yè)意見匯總后，組織專家組對其評審，并根據《專家評審記錄》負責組織修改，經總經理辦公室負責人簽署意見、股份公司信息化工作領導小組審批后，納入公司發(fā)展規(guī)劃，在執(zhí)行過程中適度調整和完善。各下屬企業(yè)根據《股份公司信息化建設發(fā)展規(guī)劃》，結合自身生產經營管理的需要，負責編制本單位的信息化建設規(guī)劃，并報股份公司備案?？偨浝磙k公室根據《股份公司信息化建設發(fā)展規(guī)劃》和職能部門申報的《項目建議計劃》，結合年度計劃，編制總部《年度信息化項目建議計劃》，經職能部門負責人審核并簽字確認后，報股份公司信息化工作領導小組審查，小組組長簽字通過后，納入股份公司年度預算計劃中。項目可行性研究和評審項目責任部門(單位)負責分析應用系統需求和確定目標后編制《項目需求報告》，對總投資超過1000萬元的重大項目應編制《項目可行性研究報告》，并由責任部門(單位)負責人簽字確認后報送至股份公司總經理辦公室。總經理辦公室會同項目責任部門(單位)組織相關單位承擔項目可行性研究，對于重大項目應組織專家組對《項目可行性研究報告》進行評審，專家組對項目需求、目標、技術路線、投資與效益、進度、組織落實等提出可行性研究評審意見并簽字。項目立項審批通過可行性研究或評審的股份公司統一建設的信息技術項目，由總經理辦公室將《項目需求分析報告》（或《項目可行性研究報告》）以專項報告的形式報股份公司信息化工作領導小組，小組組長簽字批準立項，財務部將其列入股份公司年度預算計劃。合同簽訂項目責任部門（單位）會同總經理辦公室審查集成商、咨詢商、開發(fā)商及供應商的資質，開展詢比價或招投標、商務談判等工作，并根據經法律事務部審定的采購合同和開發(fā)實施合同標準文本簽訂合同。項目實施項目責任部門(單位)負責細化業(yè)務功能和業(yè)務流程，并配合項目實施單位編制《項目詳細設計方案》項目責任部門(單位)負責落實項目實施計劃，組織項目實施和培訓，控制項目建設質量、進度和成本；負責組織項目所需數據的收集、整理、審核和錄入，保證數據的真實、完整和準確?？偨浝磙k公室負責對項目實施單位的實施工作及過程文檔進行監(jiān)督檢查。項目責任部門(單位)會同總經理辦公室對項目建設進行階段驗收，并對項目建設質量、進度、標準執(zhí)行和成本控制等進行檢查，編制《項目階段驗收報告》，項目負責人簽字確認。項目竣工驗收項目責任部門(單位)負責組織項目實施單位進行技術轉移，包括用戶使用手冊、系統維護手冊等。項目實施建設完成后，項目責任部門(單位)會同總經理辦公室按規(guī)定組織驗收；并在《項目竣工驗收報告》上填寫驗收意見并簽字。應用系統上線由項目責任部門(單位)以簽報形式報股份公司分管業(yè)務副總經理簽字批準。系統應用和維護總部應用系統的維護歸口統一由總經理辦公室負責管理。系統使用部門(單位)負責業(yè)務流程、業(yè)務工作標準、數據維護、用戶管理、數據使用安全、知識產權合法性使用及相關制度的制定和落實等工作，對有關數據的日常更新等作運行操作記錄；對關鍵用戶與一般用戶進行培訓和培訓考核，培訓記錄和考核成績提交人力資源部備案?？偨浝磙k公室負責日常軟硬件系統維護、網絡安全、環(huán)境保持、應急處理等工作，保證信息系統安全、穩(wěn)定運行，并做《應急事故處理記錄》和《運行維護記錄》?！稇笔鹿侍幚碛涗洝泛汀哆\行維護記錄》由信息中心主任簽字。需委托進行維護的信息系統，總經理辦公室負責審查系統服務商資質，并簽訂系統維護服務合同；由總經理辦公室自行維護的，應指定專人負責維護，制定崗位職責。（詳見《xx總公司信息安全管理制度》）。信息中心負責日常軟硬件系統維護、網絡安全、消防、應急處理等工作，保證信息系統安全、穩(wěn)定運行，并做《應急事故處理記錄》和《運行維護記錄》?！稇笔鹿侍幚碛涗洝泛汀哆\行維護記錄》由軟、硬件使用人及部門負責人簽字。需委托維護的信息系統，信息中心負責審查系統服務商資質，并簽訂系統維護服務合同；由信息中心自行維護的，則指定專人負責維護，制定崗位職責。（詳見《總公司信息安全管理制度》）系統如在使用中有變更要求，可向總經理辦公室提出書面要求并填寫系統變更表，由申請部門領導簽字后，交總經理辦公室統一安排進行。變更完成后由申請部門相關人員簽字確認。操作系統、數據庫系統用戶的新增、變更，須填寫《系統用戶申請表》，經總經理辦公室審批后，被賦予唯一的用戶名、用戶ID（UID），方可進入總部信息系統進行電腦使用?？偨浝磙k公室信息化主管即信息中心主任（以下簡稱信息中心主任）至少每季度審核一次《系統用戶記錄表》。信息系統數據安全管理由總經理辦公室負責信息系統數據的安全管理，包括日常備份、恢復和數據安全工作（詳見《xx股份信息中心備份制度》及《xx股份有限公司信息系統控制制度》）。數據保密性管理重要數據的處理過程中，被批準使用數據人員以外的其它人員不應進入機房工作；處理結束后，應清除不能帶走的本作業(yè)數據；妥善處理打印結果，任何記有重要信息的廢棄物在處理前應進行粉碎。未經允許，不準將機房設備、維護用品、軟盤、資料等私自帶出機房，如有特殊情況，需經負責人同意并進行登記后方可帶出。數據備份管理每日進行系統數據庫自動備份并做完整性查驗，每周一次手動備份到移動硬盤或其他電腦的硬盤，每兩周一次由專人將移動硬盤送往銀行保管箱予以存放，并填寫《數據備份記錄表》，由負責系統維護人員及信息中心主任簽字，每年進行一次備份的恢復性測試，并填寫《數據恢復性測試記錄表》，由信息中心主任簽字。7.7操作系統登錄的安全管理總經理辦公室負責各業(yè)務系統后臺操作系統登錄的安全管理（詳見《xx股份有限公司總部信息化管理制度》及《xx股份有限公司信息系統控制制度》）。7.7.1系統登錄名與密碼安全管理各系統責任人負責保管系統的登錄名和密碼，密碼的設置要符合強密碼規(guī)范和密碼復雜性要求，并將它們密存在信封中，信封由專人保管，各系統負責人每季度更換一次登錄名和密碼，并填寫《密碼保存登記表》。特殊情況需拆信封時，必須由信息中心主任在《密碼保存登記表》簽字后方可，拆封后，系統責任人要重新修改密碼，密存在信封中。7.2用戶登錄名與密碼的管理用戶名和密碼的組合定義了系統中用戶的身份，用戶和組由系統管理員進行管理，不設置多人共用的賬號，當一個工作人員離開崗位后，其賬號將被及時刪除。為防止非法用戶使用信息網絡資源，對訪問用戶的合法性進行鑒別，當不成功鑒別嘗試次數達到門限值時，系統將拒絕該用戶的訪問，加以記錄并自動告警。對用戶訪問控制的規(guī)范應遵循：所有的用戶都要經過授權；用戶有在自己的環(huán)境里設置對象特權的權力；禁止用戶刪除在共享目錄下其它用戶的文件；可以通過制定的策略控制用戶對于系統中所有對象的訪問；用戶不能檢查授予其它用戶的訪問控制權限；要能夠提供強制性的訪問控制系統維護及機房管理（詳見《xx股份有限公司機房管理制度》）7.8.1外來人員對硬件系統維護時，須填寫《外來人員進入機房審批表》，經信息中心主任簽字批準后方可；當外來人員對軟件系統進行維護時，須填寫《應用軟件維護表》，經系統使用部門（單位）負責人和信息中心主任簽字批準后方可。7.8.1機房所有工作人員須經信息中心主任授權并憑門禁卡進出機房，外來人員進入機房統一由總經理辦公室專人陪同，陪同人員全面負責外來人員的行為安全，并做好安全防范工作。進出機房工作人員的授權定期（季度）由信息中心主任進行復核并做記錄。7.8.3機房管理人員熟知機房內設備的基本安全操作規(guī)程。不定期對運行設備進行測試和保養(yǎng)，由專人負責機房內設備的保養(yǎng)和備品、配件、資料、盤片等的保管，并登記造冊，并保證備用設備完好，可供隨時投入使用。機房設備損壞應立即投入備用設備，并匯報領導，及時聯系修復，做好檢修記錄。機房工作人員應學習常規(guī)的用電安全操作和知識，了解機房內部的供電、用電設施的操作規(guī)程。在外部供電系統停電時，機房工作人員應做好停電應急工作。8.4機房工作人員應熟悉機房內部消防安全操作和規(guī)則，了解消防設備操作原理、掌握消防應急處理步驟、措施和要領。不定期進行消防演習、消防常識培訓、消防設備使用培訓。如發(fā)現消防安全隱患，應即時采取措施解決，不能解決的應及時向相關負責人員提出解決。防網絡攻擊和防病毒管理由總經理辦公室統一管理（詳見《xx股份有限公司信息系統控制制度》）。網絡運行維護人員在發(fā)現可疑網絡攻擊和入侵跡象時，必須盡快處理并記錄，在必要時請示主管部門領導，組織技術力量進行處理：分析判斷：對可疑攻擊和入侵行為進行必要的觀察與分析，以判別是否屬于共計或入侵行為。入侵或攻擊的中止：經過分析，在必要時，應立即斷開網絡連接，將遭受攻擊的網段隔離出來。采取有效措施，終止對系統的破壞行為。記錄和備份：記錄發(fā)現網絡入侵或攻擊的當前時間，備份系統日志以及其它網絡安全相關的重要文件，保存內存中的進程列表和網絡連接狀態(tài)，并且打開進程記錄功能。如果系統受到嚴重破壞，影響網絡業(yè)務功能，立即調用備件恢復系統。對該入侵或攻擊行為進行大量的日志、分析工作。同時竭盡全力地判斷尋找攻擊源。將入侵的詳細情況逐級向主管領導和有關主管部門匯報并請示處理辦法各使用人或部門應采用總經理辦公室批準的查毒、殺毒軟件，包括服務器和客戶端的查毒、殺毒軟件。禁止使用來歷不明、未經殺毒的軟件，不閱讀和下載來歷不明的電子郵件或文件，嚴格控制并阻斷計算機病毒的來源。經遠程通信傳送的程序或數據，必須經過檢測確認無病毒后方可使用。網絡管理員應至少每周一次自動的全系統病毒掃描，每天定時自動檢查更新病毒定義文件，對于發(fā)現的病毒則要有相關信息提示自動的發(fā)送到相關管理人員處?？偨浝磙k公室負責日常網絡與硬件的監(jiān)控。通過監(jiān)控系統對網絡鏈路帶寬做實時監(jiān)控，并在需要時做相應的調整。對核心服務器和網絡設備做活躍性測試監(jiān)控，主要是針對設備的網絡活動，系統的應用服務做監(jiān)控。外部網絡的訪問必須要通過防火墻，制定相關防火墻安全策略及《xx股份有限公司防火墻配置標準》。(詳見《xx股份有限公司信息系統控制制度》)系統評估升級系統使用部門(單位)會同總經理辦公室按照業(yè)務需求，對業(yè)務流程與系統功能進行評價，需要重大改進的，提出《系統升級報告》，由股份公司分管業(yè)務副總經理簽字批準。系統使用部門(單位)會同總經理辦公室組織系統升級的實施和驗收。（系統升級實施的具體流程參見本流程5項目實施與6項目竣工驗收。）五、相關制度目錄《xx股份有限公司總部信息化管理制度》《xx股份有限公司信息系統控制制度》《xx股份信息中心備份制度》《xx總公司信息安全管理制度》《xx股份有限公司機房管理制度》《xx股份有限公司防火墻配置標準》六、主要控制點信息化建設發(fā)展規(guī)劃的編制年度項目建議計劃的編制項目立項審批立項合同的簽訂項目實施過程組織管理組織專家組對項目